Wie w32/msblast Typ a,b,e,f entfernen?

#0
11.01.2004, 17:32
...neu hier

Beiträge: 4
#1 ich hab einen virus (eigentlich 5 viren) des typs
w32/Msblast.A
w32/Msblast.B
w32/Msblast.E
w32/Msblast.F

unzwar unter anderem an folgendem ort:
/mnt/system volume information/_restore{A9EF5C07-C960-4D63-A390-52D118885815}/RP6/A00004202.exe

ich weiss das des irgendwas mit Wiederherstellen, ode so zu tun hat.

Aber wie bekomm ich den Virus da raus?
hab schon nen Patch und Fix... versucht, hat aber nix geholfen.
Seitenanfang Seitenende
11.01.2004, 18:04
Member

Beiträge: 54
#2 Du must die Systemwiederherstellung deaktivieren und anschließend löschen.
__________
(-- Rokop --)
www.rokop-security.de
Seitenanfang Seitenende
12.01.2004, 14:46
...neu hier

Themenstarter

Beiträge: 4
#3 deaktiviert hab ichs.
aber wie lösch ich die?
Seitenanfang Seitenende
12.01.2004, 15:00
Member

Beiträge: 54
#4 Am einfachsten für Dich wird es sein, wenn es Dein Antivirenprogramm macht.
__________
(-- Rokop --)
www.rokop-security.de
Seitenanfang Seitenende
12.01.2004, 15:27
...neu hier

Themenstarter

Beiträge: 4
#5 mein antivirenprogramm hats ja nichtmal gefunden; ich hab die viren nur mit einem speziellen programm gefunden, der kann viren aber net löschen.
Seitenanfang Seitenende
12.01.2004, 16:30
Member

Beiträge: 54
#6 Ja, die Removaltools können meist nur die Prozesse des Wurmes beenden, sowie die Wurmdateien und Starteinträge entfernen.
Wenn sie aber im restore Ordner etwas finden, sollten sie es auch löschen können (natürlich nur wenn Systemwiederherstellung inaktiv) Du solltest es nochmal mit dem Removal Tool oder mit dem eines anderen Herstellers probieren (bieten die meisten AV Hersteller kostenlos an)
z.B. von Kaspersky: http://www.rokop-security.de/main/download.php?op=getit&lid=54
In der Systemwiederherstellung sind die Würmer zunächst einmal ungefährlich, zumindest so lange, wie Du einen alten Stand nicht wieder herstellst.
Du könntest bei abgeschalteter Systemwiederherstellung die Dateien manuell suchen und löschen.
__________
(-- Rokop --)
www.rokop-security.de
Seitenanfang Seitenende
18.01.2004, 11:15
...neu hier

Themenstarter

Beiträge: 4
#7 könnt ihr bitte mal schauen ob alles stimmt, habe den pc vor paar tagen formatiert


Logfile of HijackThis v1.97.7
Scan saved at 11:14:54, on 18.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\muh\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clan-an.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = "C:\Programme\Outlook Express\msimn.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{F73C95CA-53A4-4FAA-BB57-11E931240BFB}: NameServer = 195.71.164.131 193.189.244.205
Seitenanfang Seitenende
18.01.2004, 11:27
Moderator

Beiträge: 7805
#8 Denke bitte daran, dein Windows zu aktualisieren.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.01.2004, 16:54
...neu hier

Beiträge: 10
#9 Hallo,
ich habe mal ne Anleitung geschrieben, wie man die blasterfamilie von Hand (falls nix anders am rechner für diesen Zweck installiert ist) entfernen kann...

Für viele User war es schon eine Hilfe, warum sollte es dir nich auch helfen @HazZ

Anleitung

LG
Pettycoat

p.s.: die .exe liste ist bestimmt nicht vollständig, also falls jemand noch die dort angeführte Liste erweitern kann, für Informationen bin ich sehr dankbar... für ein sicheres Surfen im Net
__________
geht nicht, ist keine fehlermeldung ;)
Seitenanfang Seitenende
18.01.2004, 18:16
Moderator

Beiträge: 7805
#10 Nur zur Info, die Datei heisst nicht msblaster.exe sondern msblast.exe . Und wie verhindere ich, das ich neu infiziert werde, wenn ich auf dem Rechner derzeit nichts anderes als Windows Boardmittel zur Verfuegung habe? Bevor ich den Patch heruntergeladen habe, bin ich schon zwei mal wieder infiziert.

Auch sagen mir dei Namen Soundsand.exe und lovesan.exe nichts. Zumindest habe ich sie so schnell nicht gefunden.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 18.01.2004 um 18:28 Uhr von raman editiert.
Seitenanfang Seitenende
18.01.2004, 18:32
...neu hier

Beiträge: 10
#11 Hallo Raman,
ich denke mal 100%-igen Schutz gibt es leider nicht. Ich kann nur sagen, seit wir über einen Router ins Netz gehen, ist uns das nicht mehr passiert. Meist ist mir das passiert nach Format c: bei der Testverbindung mit dem provider....

;) das mit dem msblaster.exe warn tippfehler meinerseits.. ich werde den ausbessern ;)

Norton Antivirus meldet eine Infektion dieser Art immer... Entfernen kann er sie zwar nicht, weil du zuerst den Prozess von Hand beenden musst im Taskmanager... ist halt etwas mühselig, aber es ist schon mal was wert, wenn man weiss, dass man diese biester loswerden kann auch ohne removal tool. Ein gutes Antivirus Programm sollte man aber trotzdem auf dem Pc haben....

LG
Pettycoat
__________
geht nicht, ist keine fehlermeldung ;)
Seitenanfang Seitenende
22.01.2004, 14:35
...neu hier

Beiträge: 2
#12 Hallo ihr da!!!!Kann mir vielleicht jemadn helfen???Ich habe meiner Meinung nach einen Virus namens "win32 blaster" oder auf meinen Rechner und ich habe keine Ahnung wie ich den entfernt kriege, kann mir vielleicht jemand helfen????
Mfg
Marcel Hoppe
Seitenanfang Seitenende
22.01.2004, 14:49
...neu hier

Beiträge: 10
#13

Zitat

pettycoat postete
Hallo,
ich habe mal ne Anleitung geschrieben, wie man die blasterfamilie von Hand (falls nix anders am rechner für diesen Zweck installiert ist) entfernen kann...

Für viele User war es schon eine Hilfe, warum sollte es dir nich auch helfen @HazZ

Anleitung

LG
Pettycoat

p.s.: die .exe liste ist bestimmt nicht vollständig, also falls jemand noch die dort angeführte Liste erweitern kann, für Informationen bin ich sehr dankbar... für ein sicheres Surfen im Net
hier mal ne anleitung, falls es mit removal nicht geht... hättest nur alle nachrichten lesen müssen ;)
LG
Pettycoat
__________
geht nicht, ist keine fehlermeldung ;)
Seitenanfang Seitenende
01.02.2004, 14:12
...neu hier

Beiträge: 1
#14 Hallo!

Ich habe auch diesen Schei... wurm msblast.exe und habe schon alles mögliche versucht, aber er will nicht weggehen...

könnt ihr mir vielleicht helfen?

ich habe jetzt diese "anleitung von hand" ausprobiert, bloß, wenn ich im "ausführen" fenster regedit eingebe, dann kommt zwar ein neues fenster, aber das bleibt max. 5 sec und verschwindet dann wieder. total doof, dann kann ich gar nicht die anleitung fortsetzen... ich brauche hilfe ... ;)

hab mir auch schon "fixblast" runtergeladen, aber der kann den wurm nicht entfernen...
Seitenanfang Seitenende
01.02.2004, 14:53
...neu hier

Beiträge: 10
#15 also dieses Problem hatte mal n user in unserm Forum... bei dem half nur noch formatieren, weil der wurm seine registry "zerfressen" hat... das ist das was ich dir dazu sagen kann, wenn du tatsächlich nicht mehr in die registrierung kommst... ;)

LG
Pettycoat
__________
geht nicht, ist keine fehlermeldung ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: